Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument enthält zwei Informationssätze zu Entitäten und Entitätstypen in Microsoft Sentinel im Azure-Portal und Microsoft Sentinel im Defender-Portal.
- Die Tabelle "Entitätstypen und Bezeichner" zeigt die verschiedenen Typen von Entitäten an, die in Warnungen und Vorfällen identifiziert werden können, sodass Sie sie nachverfolgen und untersuchen können. Die Tabelle zeigt auch für jeden Entitätstyp die verschiedenen Bezeichner, mit denen eine Entität identifiziert werden kann.
- Der Abschnitt " Entitätsschema " zeigt die Datenstruktur und das Schema für Entitäten im Allgemeinen und für jeden Entitätstyp insbesondere an.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 wird Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure-Portal verwenden, werden automatisch umgeleitet.
Es wird empfohlen, alle Kunden, die Microsoft Sentinel in Azure verwenden, mit der Planung des Übergangs zum Defender-Portal für die vollständige einheitliche Sicherheitsoperationserfahrung von Microsoft Defender zu beginnen. Weitere Informationen finden Sie unter Planen Ihres Wechsels zum Microsoft Defender-Portal für alle Microsoft Sentinel-Kunden.
Entitätstypen und Bezeichner
In der folgenden Tabelle sind die Entitätstypen aufgeführt, die von Microsoft Sentinel erkannt werden können, und die Attribute , die als Bezeichner für jeden Entitätstyp verwendet werden können.
Microsoft Sentinel erkennt Entitäten in Warnungen und Vorfällen, die durch entitätszuordnung in Analyseregeln erstellt werden. Es erkennt auch Entitäten, die bereits in Warnungen identifiziert wurden, die aus anderen Quellen aufgenommen wurden.
Sie können derzeit bis zu drei Bezeichner für eine bestimmte Entität verwenden, wenn Sie eine Entitätszuordnung in Microsoft Sentinel erstellen. Starke Bezeichner allein reichen aus, um eine Entität eindeutig zu identifizieren, während schwache Bezeichner dies nur in Kombination mit anderen Bezeichnern tun können. Erfahren Sie mehr über starke und schwache Bezeichner. Die meisten, aber nicht alle Bezeichner in dieser Tabelle können beim Erstellen von Entitätszuordnungen in Microsoft Sentinel verwendet werden (siehe Fußnoten).
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache Bezeichner |
|---|---|---|---|
| Konto | Name FullName * NTDomain DNS-Domäne UPNSuffix Sid AadTenantId AadUserId PUID IsDomainJoined DisplayName * ObjectGuid |
Name und UPNSuffix AADUserId Sid ** Sid+Host** Name+Host+NTDomain ** Name und NTDomain ** Name und DnsDomain PUID ObjectGuid |
Name |
| Gastgeber | DNS-Domäne NTDomain Rechnername FullName * NetBiosName AzureID OMSAgentID OSFamily Betriebssystem-Version IsDomainJoined |
HostName und NTDomain HostName und DnsDomain NetBiosName und NTDomain NetBiosName und DnsDomain AzureID OMSAgentID |
Rechnername NetBiosName |
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache IDs |
| IP | Anschrift AddressScope |
Globale Adresse: Adresse** Private Adresse: Adresse+AddressScope** |
Private Adresse: Adresse** |
| URL | URL | URL (wenn absolute URL)** | URL (wenn relative URL)** |
|
Azure-Ressource (AzureResource) |
Ressourcen-ID | Ressourcen-ID | |
|
Cloudanwendung (CloudApplication) |
AppId Name InstanzName |
AppId Name AppId und InstanceName Name und InstanceName |
|
|
DNS-Auflösung (DNS) |
Domainname | DomainName+DnsServerIp+HostIpAddress | DomainName+HostIpAddress |
| Datei | Verzeichnis Name |
Directory und Name | |
|
Dateihash (FileHash) |
Algorithmus Wert |
Algorithm und Value | |
| Malware | Name Kategorie |
Name und Category | |
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache IDs |
| Prozess | Prozess-ID Kommandozeile ElevationToken CreationTimeUtc |
Host+ProcessID+CreationTimeUtc Gastgeber+ParentProcessId+ CreationTimeUtc und CommandLine Host+ProcessId+ CreationTimeUtc+ImageFile Host+ProcessId+ CreationTimeUtc+ImageFile+ FileHash |
ProcessId und CreationTimeUtc und CommandLine (ohne Host) ProcessId und CreationTimeUtc und ImageFile (kein Host) |
|
Registrierungsschlüssel (RegistryKey) |
Bienenkorb Schlüssel |
Hive und Key | |
|
Registrierungswert (RegistryValue) |
Name Wert Werttyp |
Schlüssel+Name | Name (ohne Key) |
|
Sicherheitsgruppe (SecurityGroup) |
DistinguishedName SID ObjectGuid |
DistinguishedName SID ObjectGuid |
|
| Briefkasten | MailboxPrimaryAddress Anzeigename Upn ExternalDirectoryObjectId Risikostufe |
MailboxPrimaryAddress | |
| Entitätstyp | Bezeichner | Starke Bezeichner | Schwache IDs |
|
E-Mail-Cluster (MailCluster) |
NetworkMessageIds CountByDeliveryStatus CountByThreatType CountByProtectionStatus Bedrohungen Abfrage QueryTime MailCount IsVolumeAnomaly `Source` ClusterSourceIdentifier * ClusterSourceType * ClusterQueryStartTime * ClusterQueryEndTime * ClusterGroup * |
Query und Source | |
|
E-Mail-Nachricht (MailMessage) |
Empfänger URLs Bedrohungen Absender P1Sender * P1SenderDisplayName * P1SenderDomain * SenderIp P2Sender * P2SenderDisplayName * P2SenderDomain * ReceivedDate NetworkMessageId InternetMessageId Betreff BodyFingerprintBin1 * BodyFingerprintBin2 * BodyFingerprintBin3 * BodyFingerprintBin4 * BodyFingerprintBin5 * AntispamDirection DeliveryAction Lieferort Sprache* ThreatDetectionMethods * |
NetworkMessageId und Recipient | |
|
Übermittlungs-E-Mail (SubmissionMail) |
NetworkMessageId Zeitstempel Empfänger Absender SenderIp Betreff Typ des Berichts SubmissionId Übermittlungsdatum Absender |
SubmissionId und NetworkMessageId und Recipient und Submitter |
|
| Sentinel-Entitäten | Entitäten | Entitäten |
Tabellennoten:
- * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
- ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als starke Bezeichner. Folgen Sie den Links des Sternchens, um die bedingungen anzuzeigen, die gelten, unter dem Eintrag der relevanten Entität im Abschnitt "Entitätsschemas" weiter unten.
- Kursiv formatierte Bezeichnernamen (ohne Sternchen) stellen interne Entitäten dar, was bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute aufweisen kann (siehe abschnitt "Entitätsschemas"). Folgen Sie dem Link des Bezeichners, um das eigene Schema der internen Entität anzuzeigen.
- Andere Entitäten können im Schema vorhanden sein, bei dem es sich um ein allgemeines Schema handelt, das neben Microsoft Sentinel viele Dinge unterstützt. In diesem Artikel sind nur die entitäten aufgeführt, die in Microsoft Sentinel verfügbar sind.
Entitätstypschemas
Im folgenden Abschnitt finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Hostentitätstyp, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese als Attribute verwendeten Entitäten werden als „interne Entitäten“ bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden. Sie sind jedoch sehr nützlich, um ein umfassendes Bild der Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.
Hinweis
Ein Fragezeichen nach dem Wert in der Spalte "Typ " gibt an, dass das Feld nullwertebar ist.
Liste der Entitätstypschemas
- Konto
- Gastgeber
- IP
- Malware
- Datei
- Prozess
- Cloudanwendung
- DNS-Auflösung
- Azure-Ressource
- Dateihash
- Registrierungsschlüssel
- Registrierungswert
- Sicherheitsgruppe
- URL
- IoT-Gerät
- Briefkasten
- E-Mail-Cluster
- E-Mail-Nachricht
- Übermittlungs-E-Mail
- Sentinel-Entitäten
Konto
Entitätsname: Konto
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Konto" |
| Name | Schnur | Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird. |
| FullName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung. |
| NTDomain | Schnur | Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domäne\benutzername). Beispiele: Finanzen, NT AUTHORITY |
| DnsDomain | Schnur | Der vollqualifizierte DNS-Domänenname. Beispiele: finance.contoso.com |
| UPNSuffix | Schnur | Das Suffix des Benutzerprinzipalnamens für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname. Beispiele: contoso.com |
| Gastgeber | Entität (Host) | Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt |
| Sid | Schnur | Die Sicherheits-ID des Kontos |
| AadTenantId | Guid? | Die Microsoft Entra-Mandanten-ID, falls bekannt. |
| AadUserId | Guid? | Die Objekt-ID des Microsoft Entra-Kontos, falls bekannt. |
| PUID | Guid? | Die Benutzer-ID des Microsoft Entra-Passports, falls bekannt. |
| IsDomainJoined | Bool? | Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt |
| DisplayName | -- | Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung. |
| ObjectGuid | Guid? | Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird. |
| CloudAppAccountId | Schnur | Die AccountID in Warnungen vom CloudApp-Anbieter. Bezieht sich auf Konto-IDs in Drittanbieter-Apps, die in anderen Microsoft-Produkten nicht unterstützt werden. |
| IsAnonymized | Bool? | Gibt an, ob der Benutzername anonymisiert ist. Wahlfrei. Standardwert. false. |
| Bach | STREAM | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit dem jeweiligen Konto Wahlfrei. |
Starke Bezeichner einer Kontoentität
- Name + UPNSuffix
- AadUserId
-
Sid
** Dieser Bezeichner ist stark, solange das Konto nicht eines der integrierten Konten ist, die in der nachstehenden Notiz aufgeführt sind. -
Sid + Host
** Wenn das Konto eines der integrierten Konten ist, die unten in der Notiz aufgeführt sind, ist die Hostkomponente erforderlich, um diesen Bezeichner zu einem starken zu machen. -
Name + NTDomain
** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne bzw. Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall handelt es sich auch ohne die Hostkomponente um einen starken Bezeichner. -
Name + NTDomain + Host
** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist. Das bedeutet, dass die NTDomain eine integrierte Domäne bzw. Arbeitsgruppe ist. - Name + DnsDomain
- PUID
- ObjectGuid
Schwache Bezeichner einer Kontoentität
- Name
Hinweis
Wenn die Kontoentität mithilfe des Namensbezeichners definiert ist und der Name-Wert einer bestimmten Entität eine der folgenden generischen, häufig integrierten Kontonamen ist, wird diese Entität aus der Warnung gelöscht.
- ADMINISTRATOR
- ADMINISTRATOR
- SYSTEM
- WURZEL
- ANONYM
- AUTHENTIFIZIERTER BENUTZER
- NETZWERK
- NULL
- LOKALES SYSTEM
- LOKALES SYSTEM
- NETZWERKDIENST
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Gastgeber
Entitätsname: Host
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Host" |
| IpInterfaces | List<Entity (IP)> | Liste aller IP-Schnittstellen auf dem Hostcomputer |
| DnsDomain | Schnur | Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt. |
| NTDomain | Schnur | Die DNS-Domäne, zu der dieser Host gehört. |
| HostName | Schnur | Der Hostname ohne das Domänensuffix. |
| NetBiosName | Schnur | Der Hostname (vor Windows 2000). |
| IoTDevice | Entität (IoT-Gerät) | Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt). |
| AzureID | Schnur | Die Azure-Ressourcen-ID der VM, falls bekannt. |
| OMSAgentID | Schnur | Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist. |
| OSFamily | Aufzählung? | Einer der folgenden Werte: |
| OSVersion | Schnur | Eine Freitextdarstellung des Betriebssystems. Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden. |
| IsDomainJoined | Bool | Gibt an, ob dieser Host zu einer Domäne gehört |
Starke Bezeichner einer Hostentität
- HostName + NTDomain
- HostName + DnsDomain
- NetBiosName + NTDomain
- NetBiosName + DnsDomain
- AzureID
- OMSAgentID
- IoTDevice
Schwache Bezeichner einer Hostentität
- Rechnername
- NetBiosName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IP
Entitätsname: IP
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "ip" |
| Adresse | Schnur | Die IP-Adresse als Zeichenfolge (entweder in IPv4 oder IPv6). Beispiele: 20.112.250.133, 2603:1030:b:3::152 |
| AddressScope | Schnur | Der Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard). Beispiele: /27, 255.255.255.128 |
| Ort | Geolokalisierung | Der an die IP-Entität angefügte Geostandortkontext. Weitere Informationen finden Sie unter " Anreichern von Entitäten in Microsoft Sentinel mit Geolocation-Daten über DIE REST-API (öffentliche Vorschau)". |
| Bach | STREAM | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen IP-Adresse Wahlfrei. |
Starke Bezeichner einer IP-Entität
-
Adresse
Wenn es sich bei der IP-Adresse um eine globale Adresse handelt, ist der Adressbezeichner selbst ein eindeutiger, starker Bezeichner. -
Adresse + AddressScope
Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um dies zu einem starken Bezeichner zu machen.
Schwache IDs einer IP-Entität
-
Adresse
Der Adressbezeichner selbst ist ein schwacher Bezeichner, wenn die IP-Adresse eine private/interne, nicht globale IP-Adresse ist.
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Schadsoftware
Entitätsname: Schadsoftware
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Schadsoftware" |
| Name | Schnur | Der vom Anbieter (detection?) zugewiesene Schadsoftwarename, z. B. Win32/Toga!rfn. |
| Kategorie | Schnur | Die vom Anbieter (detection?) zugewiesene Schadsoftwarekategorie, z. B. Trojaner. |
| Dateien | List<Entity (File)> | Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten. Weitere Informationen zur Struktur finden Sie in der Dateientität. |
| Abläufe | List<Entity (Process)> | Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird. Weitere Informationen zur Struktur finden Sie in der Prozessentität. |
Starke Bezeichner einer Schadsoftwareentität
- Name + Kategorie
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Datei
Entitätsname: Datei
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | 'Datei' |
| Verzeichnis | Schnur | Der vollständige Pfad zur Datei. |
| Name | Schnur | Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad). |
| AlternateDataStreamName | Schnur | Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom). |
| Gastgeber | Entität (Host) | Der Host, auf dem die Datei gespeichert wurde. |
| HostUrl | Entität (URL) | URL, von der die Datei heruntergeladen wurde (Marke des Webs). |
| WindowsSecurityZoneType | WindowsSecurityZone | Windows-Sicherheitszone, zu der die URL gehört (Marke des Webs). |
| ReferrerUrl | Entität (URL) | Referrer-URL der HTTP-Anforderung zum Herunterladen der Datei (Marke des Webs). |
| SizeInBytes | Lang? | Die Größe der Datei in Bytes. |
| FileHashes | List<Entity (FileHash)> | Die Dateihashes, die dieser Datei zugeordnet sind. |
Starke Bezeichner einer Dateientität
- Name + Verzeichnis
- Name + FileHash
- Name + Verzeichnis + FileHash
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Prozess
Entitätsname: Prozess
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Prozess" |
| Prozess-ID | Schnur | Die Prozess-ID. |
| CommandLine | Schnur | Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird. |
| ElevationToken | Aufzählung? | Das dem Prozess zugeordnete Erhöhungstoken. Mögliche Werte: |
| CreationTimeUtc | DateTime? | Die Zeit, zu der die Ausführung des Prozesses gestartet wurde. |
| ImageFile | Entität (Datei) | Kann die Dateientität inline oder als Verweis enthalten. Weitere Informationen zur Struktur finden Sie in der Dateientität. |
| Konto | Entität (Konto) | Das Konto, mit dem die Prozesse ausgeführt werden. Kann die Account-Entität inline oder als Verweis enthalten. Weitere Informationen zur Struktur finden Sie in der Kontoentität. |
| ParentProcess | Entität (Prozess) | Die übergeordnete Prozessentität. Kann Teildaten enthalten, z. B. nur die PID |
| Gastgeber | Entität (Host) | Der Host, auf dem der Prozess ausgeführt wurde. |
| LogonSession | Entität (HostLogonSession) | Die Sitzung, in der der Prozess ausgeführt wurde. |
Starke Bezeichner einer Prozessentität
- Host + ProcessId + CreationTimeUtc
- Gastgeber + ParentProcessId + CreationTimeUtc + CommandLine
- Host + ProcessId + CreationTimeUtc + ImageFile
- Host + ProcessId + CreationTimeUtc + ImageFile.FileHash
Schwache Bezeichner einer Prozessentität
- ProcessID und CreationTimeUtc und CommandLine (und kein Host)
- ProcessId + CreationTimeUtc + ImageFile (und kein Host)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendung
Entitätsname: CloudApplication
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Cloud-Anwendung" |
| AppId | Integer | Veraltet, verwenden Sie stattdessen das Feld „SaasId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten. |
| SaasId | Integer | Ersetzt das veraltete Feld „AppId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten. |
| Name | Schnur | Der Name der verwandten Cloudanwendung. Dieser Wert ist optional. |
| InstanceName | Schnur | Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet. |
| InstanceId | Integer | Der Bezeichner der spezifischen Sitzung der Anwendung. Es handelt sich um eine nullbasierte laufende Zahl. Dieser Wert ist optional. |
| Risiko | AppRisk? | Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von Apps mit hohem Risiko konzentrieren können. Werte wie „Low“, „Medium“, „High“ oder „Unknown“ sind möglich. |
| Bach | STREAM | Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen Cloud-App Wahlfrei. |
Starke Bezeichner einer Cloudanwendungsentität
- AppId (ohne InstanceName)
- Name (ohne InstanceName)
- AppId + InstanceName
- Name + InstanceName
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
DNS-Auflösung
Entitätsname: DNS
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "dns" |
| DomainName | Schnur | Der Name des DNS-Eintrags, der der Warnung zugeordnet ist. |
| IpAddress- | List<Entity (IP)> | Entitäten, die den aufgelösten IP-Adressen entsprechen. |
| DnsServerIp | Entität (IP) | Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst. |
| HostIpAddress | Entität (IP) | Eine Entität, die den DNS-Anforderungsclient darstellt. |
Starke Bezeichner einer DNS-Entität
- DomainName + DnsServerIp + HostIpAddress
Schwache Bezeichner einer DNS-Entität
- DomainName + HostIpAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Azure-Ressource
Entitätsname: AzureResource
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "azure-resource" |
| Ressourcen-ID | Schnur | Die Azure-Ressourcen-ID der Ressource. Obligatorisch. |
| SubscriptionId | Schnur | Die Abonnement-ID der Ressource. |
| ActiveContacts | Liste<ActiveContact> | Aktive Kontakte, die der Ressource zugeordnet sind |
| Ressourcen-Typ | Schnur | Der Typ der Ressource. |
| ResourceName- | Schnur | Der Name der Ressource. |
Starke Bezeichner einer Azure-Ressourcenentität
- Ressourcen-ID
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Dateihash
Entitätsname: FileHash
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | 'filehash' |
| Algorithmus | Enumeration | Der Hashalgorithmustyp. Obligatorisch. Mögliche Werte: |
| Wert | Schnur | Der Hashwert. Obligatorisch. |
Starke Bezeichner einer Dateihashentität
- Algorithmus + Wert
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registrierungsschlüssel
Entitätsname: RegistryKey
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Registrierungsschlüssel" |
| Bienenkorb | Aufzählung? | Einer der folgenden Werte: |
| Schlüssel | Schnur | Der Registrierungsschlüsselpfad. |
Starke Bezeichner einer Registrierungsschlüsselentität
- Struktur + Schlüssel
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Registrierungswert
Entitätsname: RegistryValue
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Registrierungswert" |
| Gastgeber | Entität (Host) | Der Host, zu dem die Registrierung gehört |
| Schlüssel | Entität (RegistryKey) | Die Registrierungsschlüsselentität. |
| Name | Schnur | Der Name des Registrierungswerts. |
| Wert | Schnur | Als Zeichenfolge formatierte Darstellung der Wertdaten. |
| ValueType | Aufzählung? | Einer der folgenden Werte: Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen. |
Starke Bezeichner einer Registrierungswertentität
- Schlüssel + Name
Schwache Bezeichner einer Registrierungswertentität
- Name (ohne Schlüssel)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sicherheitsgruppe
Entitätsname: SecurityGroup
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Sicherheitsgruppe" |
| DistinguishedName | Schnur | Der Distinguished Name (DN) der Gruppe. |
| SID | Schnur | Ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt |
| ObjectGuid | Guid? | Ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird |
Starke Bezeichner einer Sicherheitsgruppenentität
- DistinguishedName
- SID
- ObjectGuid
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
URL
Entitätsname: URL
| Feld | Typ | Beschreibung |
|---|---|---|
| Typ | Schnur | 'url' |
| URL | Uri | Eine vollständige URL, auf die die Entität verweist. Obligatorisch. |
Starke Bezeichner einer URL-Entität
- URL (** Dieser Bezeichner ist stark, wenn die URL eine absolute URL ist.)
Schwache Bezeichner einer URL-Entität
- Url (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
IoT-Gerät
Entitätsname: IoTDevice
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "iotdevice" |
| IoTHub | Entität (AzureResource) | Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört. |
| DeviceId | Schnur | Die ID des Geräts im Kontext des IoT Hub. Obligatorisch. |
| DeviceName | Schnur | Der Anzeigename des Geräts. |
| Besitzer | Listenzeichenfolge<> | Die Besitzer des Geräts |
| IoTSecurityAgentId | Guid? | Die ID des Defender für IoT-Agents , der auf dem Gerät ausgeführt wird. |
| DeviceType | Schnur | Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.). |
| DeviceTypeId | Schnur | Eine eindeutige ID, um jeden Gerätetyp gemäß dem Gerätetypschema zu identifizieren, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist Mögliche Werte: Nicht klassifiziert = 0 Sonstiges = 1 Netzwerkgerät = 2 Drucker = 3 Audio und Video = 4 Medien und Überwachung = 5 Kommunikation = 7 Smart Appliance = 9 Workstation = 10 Server = 11 Mobil = 12 Smart Facility = 13 Industrie = 14 Betriebsausrüstung = 15 |
| Quelle | Schnur | Die Quelle (Microsoft/Hersteller) der Geräteentität. |
| SourceRef | Entität (URL) | Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird. |
| Hersteller | Schnur | Der Hersteller des Geräts. |
| Modell | Schnur | Das Gerätemodell. |
| OperatingSystem | Schnur | Das Betriebssystem, das das Gerät ausführt. |
| IpAddress- | Entität (IP) | Die aktuelle IP-Adresse des Geräts. |
| MacAddress | Schnur | Die MAC-Adresse des Geräts. |
| Nics | Entität (Nic) | Die aktuellen NICs auf dem Gerät |
| Protokolle | Listenzeichenfolge<> | Eine Liste der Protokolle, die vom Gerät unterstützt werden. |
| SerialNumber | Schnur | Die Seriennummer des Geräts. |
| Platz | Schnur | Der Standort des Geräts |
| Zone | Schnur | Die Zone des Geräts innerhalb eines Standorts |
| Sensor | Schnur | Der Sensor, der das Gerät überwacht |
| Wichtigkeit | Aufzählung? | Einer der folgenden Werte: |
| PurdueLayer | Schnur | Die Purdue-Schicht des Geräts |
| IsProgramming | Bool? | Gibt an, ob das Gerät als Programmiergerät klassifiziert wurde |
| IsAuthorized | Bool? | Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wurde |
| IsScanner | Bool? | Gibt an, ob das Gerät als Scannergerät klassifiziert wurde |
| DevicePageLink | Entität (URL) | Eine URL zur Geräteseite im Defender for IoT-Portal |
| GerätUntertyp | Schnur | Der Name des Geräteuntertyps |
Starke Bezeichner einer IoT-Geräteentität
- IoTHub + DeviceId
Schwache Bezeichner einer IoT-Geräteentität
- DeviceId -ID (ohne IoTHub)
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Postfach
Entitätsname: Postfach
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "Postfach" |
| MailboxPrimaryAddress | Schnur | Die primäre Adresse des Postfachs. |
| Anzeigename | Schnur | Der Anzeigename des Postfachs. |
| UPN | Schnur | Der UPN des Postfachs. |
| AadId | Schnur | Der Azure AD-Bezeichner des Postfachs des Benutzers |
| RiskLevel | RiskLevel? | Die Risikostufe dieses Postfachs. Mögliche Werte: |
| ExternalDirectoryObjectId | Guid? | Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch. |
Starke Bezeichner einer Postfachentität
- MailboxPrimaryAddress
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
E-Mail-Cluster
Entitätsname: MailCluster
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "mail-cluster" |
| NetworkMessageIds | IList-Zeichenfolge<> | Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind. |
| CountByDeliveryStatus | IDictionary<String,Int> | Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung. |
| CountByThreatType | IDictionary<String,Int> | Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung. |
| CountByProtectionStatus | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Protection“ |
| CountByDeliveryLocation | IDictionary<String,long> | Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Delivery“ |
| Bedrohungen | IList-Zeichenfolge<> | Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| Frage | Schnur | Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden. |
| QueryTime | DateTime? | Die Abfragezeit. |
| MailCount | Int? | Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind. |
| IsVolumeAnomaly | Bool? | Gibt an, ob es sich um einen E-Mail-Cluster mit Volumenanomalie handelt |
| Quelle | Schnur | Die Quelle des E-Mail-Clusters (Standardwert: O365 ATP) |
Starke Bezeichner einer E-Mail-Clusterentität
- Abfrage + Quelle
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Entitätsname: MailMessage
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | "E-Mail-Nachricht" |
| Dateien | IList-Entität<(Datei)> | Die Dateientitäten der Anlagen dieser E-Mail-Nachricht. |
| Empfänger | Schnur | Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf. |
| URLs | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen URLs. |
| Bedrohungen | IList-Zeichenfolge<> | Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen. |
| Absender | Schnur | Die E-Mail-Adresse des Absenders. |
| SenderIP | Schnur | Die IP-Adresse des Absenders. |
| ReceivedDate | Datetime | Das Empfangsdatum dieser Nachricht. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID dieser E-Mail-Nachricht. |
| InternetMessageId | Schnur | Die Internetnachrichten-ID dieser E-Mail-Nachricht. |
| Betreff | Schnur | Der Betreff dieser E-Mail-Nachricht. |
| AntispamDirection | Aufzählung? | Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryAction | Aufzählung? | Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte: |
| DeliveryLocation | Aufzählung? | Die Übermittlungsort dieser E-Mail-Nachricht. Mögliche Werte: |
| Kampagnen-ID | Schnur | Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist. |
| VerdächtigeRecipients | IList-Zeichenfolge<> | Die Liste der Empfänger, die als verdächtig erkannt wurden |
| ForwardedRecipients | IList-Zeichenfolge<> | Die Liste aller Empfänger in der weitergeleiteten E-Mail |
| ForwardingType | IList-Zeichenfolge<> | Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw. |
Starke Bezeichner einer E-Mail-Nachrichtenentität
- NetworkMessageId + Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Übermittlungs-E-Mail
Entitätsname: SubmissionMail
| Feld | Typ | Beschreibung |
|---|---|---|
| Art | Schnur | 'EinreichungMail' |
| SubmissionId | Guid? | Die Übermittlungs-ID. |
| Übermittlungsdatum | DateTime? | Gemeldetes Datum und die Uhrzeit dieser Übermittlung. |
| Einreicher | Schnur | Die E-Mail-Adresse des Übermittlers. |
| NetworkMessageId | Guid? | Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört. |
| Zeitstempel | DateTime? | Der Zeitstempel für den Nachrichtempfang (E-Mail). |
| Empfänger | Schnur | Der Empfänger der E-Mail. |
| Absender | Schnur | Der Absender der E-Mail. |
| SenderIp | Schnur | Die IP-Adresse des Absenders. |
| Betreff | Schnur | Der Betreff der Übermittlungs-E-Mail. |
| ReportType | Schnur | Der Übermittlungstyp für die angegebene Instanz. Mögliche Werte sind „Junk“, „Phish“, „Malware“ oder „NotJunk“. |
Starke Bezeichner einer SubmissionMail-Entität
- SubmissionId, Submitter, NetworkMessageId, Recipient
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Sentinel-Entitäten
| Feld | Typ | Beschreibung |
|---|---|---|
| Entitäten | Schnur | Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Entitätsspalte aus dem SecurityAlert-Schema (siehe Dokumentation). |
Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern
Cloudanwendungsbezeichner
In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der App-ID-Wert wird als Bezeichner der Cloudanwendungsentität verwendet.
| App-ID | Name |
|---|---|
| 10026 | DocuSign |
| 10395 | Anaplan |
| 10489 | Feld |
| 10549 | Cisco Webex |
| 10618 | Atlassian |
| 10915 | cornerstone ondemand |
| 10921 | Zendesk |
| 10980 | Okta |
| 11042 | Jive Software |
| 11114 | Salesforce |
| 11161 | Office 365 |
| 11162 | Microsoft OneNote Online |
| 11394 | Microsoft Online Services |
| 11522 | Yammer |
| 11599 | Amazon Web Services |
| 11627 | Dropbox |
| 11713 | Expensify |
| 11770 | G Suite |
| 12005 | SuccessFactors |
| 12260 | Microsoft Azure |
| 12275 | Arbeitstag |
| 13843 | LivePerson |
| 13979 | Übereinstimmen |
| 14509 | ServiceNow |
| 15570 | Tableau |
| 15600 | Microsoft OneDrive für Unternehmen |
| 15782 | Citrix ShareFile |
| 17152 | Amazonas |
| 17865 | Ariba Inc. |
| 18432 | Zscaler |
| 19688 | Xactly |
| 20595 | Microsoft Defender für Cloud-Apps |
| 20892 | Microsoft SharePoint Online |
| 20893 | Microsoft Exchange Online |
| 20940 | Active Directory |
| 20941 | Adallom CPanel |
| 22110 | Google Cloud Platform |
| 22930 | Gmail |
| 23004 | Autodesk Fusion Lifecycle |
| 23043 | Schlaff |
| 23233 | Microsoft Office Online |
| 25275 | Microsoft Skype für Unternehmen |
| 25988 | Google Docs |
| 26055 | Microsoft 365 Admin Center |
| 26060 | OPSWAT Getriebe |
| 26061 | Microsoft Word Online |
| 26062 | Microsoft PowerPoint Online |
| 26063 | Microsoft Excel Online |
| 26069 | Google Drive |
| 26206 | Workiva |
| 26311 | Microsoft Dynamics 365 |
| 26318 | Microsoft Entra-ID |
| 26320 | Microsoft Office Sway |
| 26321 | Microsoft Delve |
| 26324 | Microsoft Power BI |
| 27548 | Microsoft Forms |
| 27592 | Microsoft Flow |
| 27593 | Microsoft PowerApps |
| 28353 | Workplace by Facebook |
| 28373 | CAS-Proxy-Emulator |
| 28375 | Microsoft Teams |
| 32780 | Microsoft Dynamics 365 |
| 33626 | Googeln |
| 34127 | Microsoft AppSource |
| 34667 | HighQ |
| 35395 | Microsoft Dynamics Talent |
Nächste Schritte
In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.
Erfahren Sie mehr über Entitäten und Entitätszuordnungen.